MENU

【2023年10月最新版】個人情報保護法改正を分かりやすく解説|企業で対応が必要となるポイントと整理

  • URLをコピーしました!

個人情報保護法の改正、施行が行われました。改正に関する勉強会や説明会を開催している企業も多いかと思います。
本記事では、2022年から2023年にかけて施行された改正のうち、事業活動に大きく関わる部分に絞って解説します。

目次

個人情報保護法とは?

個人情報保護法の正式名称は「個人情報の保護に関する法律」です。

個人情報とは、氏名や住所、生年月日など、個人に関する情報で、かつ個人を特定できる情報です。また、単体では個人が特定できなくても、他の情報とのかけ合わせによって特定可能になる場合は、個人情報にあたる場合もあります。

個人情報を活用する有用性に配慮しつつ、個人の権利・利益を守れるように定められたのが、個人情報保護法です。

制定の背景や、目的

日本の法律は、法律を制定することとなった背景や経緯、法律が目指す目的が法律の一番初めに書かれています個人情報保護法(正式名称:個人情報の保護に関する法律)はどのように書かれているのでしょうか。

具体的に見ていきましょう。

第一条(目的)
この法律は、デジタル社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにし、個人情報を取り扱う事業者及び行政機関等についてこれらの特性に応じて遵守すべき義務等を定めるとともに、個人情報保護委員会を設置することにより、行政機関等の事務及び事業の適正かつ円滑な運営を図り、並びに個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。

これを読むと、個人情報の有用性、つまり個人情報の活用によって行政やビジネスのサービス向上や業務の効率化を目指すことと、個人の権利や利益を守ることの両立を目的としたものであることがわかります。2003年5月に制定され、2005年4月に全面施行されました。

個人情報保護法改正の経緯

日々の生活で個人情報の利用機会が増えたことにより、その取り扱いも年々シビアになる傾向にあります。
個人情報保護法には、その内容を3年ごとに見直すことが定められていますが(個人情報保護法改正附則12条)、これはデジタル技術の進展やグローバル化などの世の中の変化や、個人情報に対する意識の高まりなどに対応するためです。

先年、民法の財産編が120年ぶりの大改正ということで話題になりましたが、情報社会の現在、それだけ世の中の移り変わりがダイナミックであり、法律もその実情に合わせて素早く修正、改善していく必要があるという使命を織り込んだものと言えるでしょう。

この3年ごとの見直し規定によって初めて改正された個人情報保護法が2022年4月からスタートしています。また、2021年5月の「デジタル社会の形成を図るための関係法律の整備に関する法律」制定に伴い個人情報保護法も改正され、2023年4月からは民間事業者だけでなく、それぞれに個別に法律が用意されていた国の行政機関・地方公共団体・独立行政法人をも対象として個人情報保護法の運用が開始されたところです。

【参考】(資料)個人情報保護法 いわゆる3年ごと見直しについて(首相官邸ホームページ)

個人情報保護法改正の内容

それでは、改正の内容の中から事業活動に大きく関わる部分に絞って解説します。

(1)個人の権利に関する改正

① 個人データの範囲拡大(旧2条7項削除・16条4項)

これまで対象外となっていた短期保存データ(6ヶ月以内に消去する個人データ)も、保有個人データとして扱われるようになりました。保存期間が短期であっても、その間に漏洩が起これば瞬く間に広まってしまうリスクがあるからです。改正法では、個人データの保存期間の長短に関係なく、本人からの開示請求や利用停止などの対象となります。

② 電子データで開示を受けることも可能に(33条)

法改正前は原則として書面交付により個人データの開示を受けることとなっていましたが、改正法は電磁的記録の提供、つまりデジタルデータ(例:メールやダウンロード等)での開示も認めており、開示請求する本人が開示方法を指定できるようになりました。時代の変化と共に個人データの量の膨大化や多様化により、紙での提供が適さない場面もあるからです。個人情報取扱事業者側も、指定された方法だと多額の費用がかかるなど困難な場合を除き、指定された方法で開示する必要があります。

③ 第三者提供記録も開示請求可能に(33条5項)

法改正前は対象外とされていた個人データの第三者提供記録の開示について、改正法では本人からの開示請求が可能となりました。開示方法については先ほど②でご説明したとおりです。

④ 個人情報の利用停止・消去がより請求しやすく(35条・19条)

法改正前は、個人情報の不正取得や利用目的を超えて取り扱われた場合のみ利用停止・消去の請求が可能でした。また、本人の同意なく保有個人データが第三者提供された場合についてのみ、提供停止の請求ができました。改正法ではこれらに加え、次の場合にも保有個人データの利用停止・消去・第三者提供停止を請求できるようになりました。

・違法又は不当行為を助長・誘発する恐れがある方法により個人情報が利用されている場合
・保有個人データを個人情報取扱事業者が利用する必要がなくなった場合
・個人データの漏洩・滅失・毀損など、個人の権利利益を害する恐れが大きい事態が生じた場合
・保有個人データの取り扱いにより本人の権利や正当な利益が害される恐れがある場合

⑤ オプトアウト提供できる範囲の限定(27条2項)

オプトアウト規定とは、一定の事項を予め本人に通知するか本人が容易に知り得る状態に置くと共に個人情報保護委員会に届け出ることで、本人の同意なく個人データを第三者提供できる制度です。法改正により、この制度により提供できる個人データの範囲が下記のように限定されました。

・不正取得された個人データはオプトアウト提供不可
・他の個人情報取扱事業者からオプトアウト提供された個人データはオプトアウト提供不可

(2)事業者の責務に関する改正

① 個人情報保護委員会への報告の義務化(26条1項)

改正法では、個人の権利利益を害する恐れが大きい安全確保に係る事態が生じた場合に、個人情報取扱事業者から個人情報保護委員会への報告が義務付けられました。なお、報告は発生した場合だけでなく、発生した恐れがある場合も必要です。

<報告が必要な事態>
・要配慮個人情報が含まれる個人データの漏洩・滅失・毀損
・不正利用されることにより財産的被害が生じる恐れがある個人データの漏洩・滅失・毀損
・不正目的で行われた恐れがある個人データの漏洩・滅失・毀損
・個人データに係る本人の数が1000人を超える漏洩・滅失・毀損

※高度な暗号化等個人の権利利益の保護措置が講じられた場合は除きます。
※個人情報取扱事業者が他の個人情報取扱事業者・行政機関等から個人データの取扱いの委託を受けた場合で、委託した事業者・行政機関等に漏洩等を通知した場合も除きます。

② 本人への通知の義務化(26条2項)

上記①の場合、委員会への報告と合わせて本人にも事態が生じたことの通知が義務付けられました。
※本人への通知が困難な場合で、本人の権利利益を保護するための代替措置をとる場合は除きます。

③ 不適正利用の禁止(19条)

法改正前は条文に盛り込まれていませんでしたが、改正法では個人情報取扱事業者は違法又は不当な行為を助長・誘発する恐れがある方法により個人情報を利用してはならないことが明確に定められました。このルールに反して個人情報を利用した場合、2(1)の④で説明したとおり、利用停止等の請求対象となります。

④ 公表の対象項目の追加(32条)

個人情報取扱事業者は、保有個人データに関して一定の事項を公表等しなければなりませんが、改正法では公表事項が追加されました。

<追加された項目>
・個人情報取扱事業者の住所、法人の場合はその代表者の氏名
・保有個人データの安全管理のために講じた措置

(3)データの利用・活用に関する改正

① 仮名加工情報制度の新設(41条)

仮名加工情報とは、個人情報の一部を削除する、あるいはIDなどの記号等に置き換えるなどの加工を行うことで、他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報のことです。(2条5項)

利用目的の本人への通知が不要(公表は必要)となるほか、漏洩等の報告・通知も必要なく、開示請求・利用停止等も適用除外となります。個人情報と比べて権利利益を侵害するリスクが低いため、このような義務が緩和された取り扱いが認められます。

② 個人関連情報の第三者提供時の確認義務(31条)

個人関連情報とは、その情報だけでは個人を特定することができない情報のことで、一例として、Cookie(クッキー)を通じて収集されたウェブサイト閲覧履歴やネットショップの購入履歴などが該当します。Cookieとは、スマホやPC内のブラウザに保存される情報ファイルのことです。Cookieには、ウェブサイトを訪れた日時や訪問回数など、さまざまな内容が記録されており、ウェブサイトの読み込み速度の改善やサイトを閉じた後、再度ウェブサイトを開いたときに前に入力した情報を残しておくような仕組みにも使われています。

一方で、取得した企業ではその情報から個人を特定できないとしても、その情報を第三者に提供した結果、その第三者では個人を特定できるというケースも考えられるため、その取り扱いについてルールが定められることとなりました。具体的には、このような個人関連情報を第三者に提供する場合に、予め本人の同意が得られているか等の確認が必要とされました。

(4)罰則に関する改正

改正法では刑の引き上げが行われ、特に法人に対しての罰金刑の上限が大幅に引き上げられています。

① 個人情報保護委員会からの命令等に違反(178条・184条)
行為者:懲役6月以下→1年以下/罰金30万円以下→100万円以下
法人等:罰金30万円以下→1億円以下

② 個人情報保護委員会への虚偽報告等(182条・184条)

行為者:罰金30万円以下→50万円以下
法人等:罰金30万円以下→50万円以下

③ 個人情報データベース等の不正提供・盗用(179条・184条)
行為者:懲役1年以下/罰金50万円以下(変更なし)
法人等:罰金50万円以下→1億円以下

(5)法の適用・越境移転に関する改正

① 法の適用範囲(171条)

個人情報取扱事業者等が、日本で提供する物品・サービスに関連して、日本にいる人の個人情報等を外国で取り扱う場合も、個人情報保護法が適用されることとなりました。
また、改正前は、個人情報保護委員会は外国にある事業者に対し、指導や助言など強制力のない権限しか行使できませんでしたが、改正法では外国事業者も個人情報保護委員会に対する報告義務・命令の対象となり、罰則があることにより法令順守の実効力が増すこととなりました。

②外国にある第三者への提供の制限(28条)

外国にある第三者に個人データを提供する場合、予め本人の同意を得ることに加え、その外国での個人情報保護に関する制度や外国の第三者が講ずる個人情報保護のための措置等の参考情報を本人に提供しなければならないこととされました。

この改正については、2021年にLINEのサービスに関して話題になったことも、改正の経緯として考えられるでしょう。

【参考】LINE、個人情報取り扱いと今後の方針を説明―出澤氏が不適切な情報管理について謝罪(Impress社『ケータイWatch』 2021/3/24)

改正に関するより詳しい内容や具体例などは「個人情報の保護に関する法律についてのガイドライン」に掲載されています。理解を深めたい方におすすめです。

【参考】個人情報の保護に関する法律についてのガイドライン(個人情報保護委員会)

電子契約サービスの導入を検討中の方必見!

 

電子契約サービスごとの違いや選び方などについて、下記の記事でわかりやすく比較しています。ぜひご参考にしてください。また、各社のサービスをまとめた比較表を“無料”でダウンロードできます

“無料” で使える電子契約サービスをまとめました! /

\ 各社サービスを一覧でチェック! /

 

 

電子契約サービスを導入するなら「GMOサイン」が断然おすすめ!

GMOサインは、導⼊企業数No.1 ※ の電子契約サービスで、300万社以上の事業者にご利用いただいております。また、自治体などにおいても広く導入されています。同⽔準の他社サービスと比較をしても、使用料がとてもリーズナブルなのが特徴です。さらに、無料で試せる「お試しフリープラン」もあるので手軽に利用できます。各種機能も充実しているため、使い勝手も抜群です。ぜひ一度お試しください。

※ 導入企業数は「GMOサイン(OEM商材含む)」を利用した事業者数(企業または個人)。1事業者内のユーザーが複数利用している場合は1カウントする。内、契約社数「100万社」(複数アカウントをご利用の場合、重複は排除)

 

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

GMOサインが運営する公式ブログ「GMOサインブログ」の編集部です。
電子署名/電子サイン/電子印鑑(デジタルハンコ)/脱印鑑(脱ハンコ)/電子文書/電子証明書/電子帳簿保存法など、電子契約にまつわる様々なお役立ち情報をお届けします。

電子サイン・電子契約・電子署名のことなら「電子印鑑GMOサイン」
目次